你的配置文件是不是还在使用下面这种落后的配置暴露一些密码:

  1. jdbc.url=jdbc:mysql://127.0.0.1:3305/afei

  2. jdbc.username=afei

  3. jdbc.password=123456

如果是,那么继续往下看。笔者今天介绍史上最优雅加密接入方式:jasypt

使用方式

用法一

先看用法有多简单,以 springboot 为例:

  1. Application.java 上增加注解 @EnableEncryptableProperties;

  2. 增加配置文件 jasypt.encryptor.password = Afei@2018 ,这是加密的秘钥;

  3. 所有明文密码替换为 ENC (加密字符串),例如ENC(XW2daxuaTftQ+F2iYPQu0g==) ;

  4. 引入一个MAVEN依赖;

maven坐标如下:


  1. <dependency>

  2. <groupId>com.github.ulisesbocchio</groupId>

  3. <artifactId>jasypt-spring-boot</artifactId>

  4. <version>2.0.0</version>

  5. </dependency>

简答的 4 步就搞定啦,是不是超简单?完全不需要修改任何业务代码。其中第三步的加密字符串的生成方式为:


  1. java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="123456" password=Afei@2018 algorithm=PBEWithMD5AndDES

其中:

  • input的值就是原密码。

  • password的值就是参数jasypt.encryptor.password指定的值,即秘钥。

用法二

其实还有另一种更简单的姿势:

  1. 增加配置文件 jasypt.encryptor.password = Afei@2018,这是加密的秘钥;

  2. 所有明文密码替换为 ENC (加密字符串),例如 ENC(XW2daxuaTftQ+F2iYPQu0g==);

  3. 引入一个MAVEN依赖;

maven 坐标如下:


  1. <dependency>

  2. <groupId>com.github.ulisesbocchio</groupId>

  3. <artifactId>jasypt-spring-boot-starter</artifactId>

  4. <version>2.0.0</version>

  5. </dependency>

相比第一种用法,maven 坐标有所变化。但是不需要显示增加注解 @EnableEncryptableProperties;

github地址

github:https://github.com/ulisesbocchio/jasypt-spring-boot 它 github 首页有详细的用法说明,以及一些自定义特性,例如使用自定义的前缀和后缀取代 ENC():


  1. jasypt.encryptor.property.prefix=ENC@[

  2. jasypt.encryptor.property.suffix=]

原理解密

既然是 springboot 方式集成,那么首先看 jasypt-spring-boot 的 spring.factories 的申明:


  1. org.springframework.context.ApplicationListener=\

  2. com.ulisesbocchio.jasyptspringboot.configuration.EnableEncryptablePropertiesBeanFactoryPostProcessor

这个类的部分核心源码如下:


  1. public class EnableEncryptablePropertiesBeanFactoryPostProcessor implements BeanFactoryPostProcessor, ApplicationListener<ApplicationEvent>, Ordered {

  2. @Override

  3. public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {

  4. // 得到加密字符串的处理类(已经加密的密码通过它来解密)

  5. EncryptablePropertyResolver propertyResolver = beanFactory.getBean(RESOLVER_BEAN_NAME, EncryptablePropertyResolver.class);

  6. // springboot下的Environment里包含了所有我们定义的属性, 也就包含了application.properties中所有的属性

  7. MutablePropertySources propSources = environment.getPropertySources();

  8. // 核心,PropertySource的getProperty(String)方法委托给EncryptablePropertySourceWrapper

  9. convertPropertySources(interceptionMode, propertyResolver, propSources);

  10. }

  11. @Override

  12. public int getOrder() {

  13. // 让这个jasypt定义的BeanFactoryPostProcessor的初始化顺序最低,即最后初始化

  14. return Ordered.LOWEST_PRECEDENCE;

  15. }

  16. }

PropertySource 的 getProperty(String) 方法委托给EncryptablePropertySourceWrapper,那么当获取属性时,实际上就是调用 EncryptablePropertySourceWrapper 的 getProperty() 方法,在这个方法里我们就能对 value 进行解密了。

EncryptablePropertySourceWrapper 实现了接口EncryptablePropertyResolver,该定义如下:


  1. // An interface to resolve property values that may be encrypted.

  2. public interface EncryptablePropertyResolver {

  3. String resolvePropertyValue(String value);

  4. }

接口描述: Returns the unencrypted version of the value provided free on any prefixes/suffixes or any other metadata surrounding the encrypted value. Or the actual same String if no encryption was detected.

  • 如果通过 prefixes/suffixes 包裹的属性,那么返回解密后的值;

  • 如果没有被包裹,那么返回原生的值;

实现类的实现如下:


  1. @Override

  2. public String resolvePropertyValue(String value) {

  3. String actualValue = value;

  4. // 如果value是加密的value,则进行解密。

  5. if (detector.isEncrypted(value)) {

  6. try {

  7. // 解密算法核心实现

  8. actualValue = encryptor.decrypt(detector.unwrapEncryptedValue(value.trim()));

  9. } catch (EncryptionOperationNotPossibleException e) {

  10. // 如果解密失败,那么抛出异常。

  11. throw new DecryptionException("Decryption of Properties failed, make sure encryption/decryption passwords match", e);

  12. }

  13. }

  14. // 没有加密的value,返回原生value即可

  15. return actualValue;

  16. }

判断是否是加密的逻辑很简单: (trimmedValue.startsWith(prefix)&&trimmedValue.endsWith(suffix)),即只要 value 是以 prefixe/suffixe 包括,就认为是加密的 value。

总结

通过对源码的分析可知 jasypt 的原理很简单,就是讲原本 spring 中PropertySource 的 getProperty(String) 方法委托给我们自定义的实现。然后再自定义实现中,判断 value 是否是已经加密的 value ,如果是,则进行解密。如果不是,则返回原 value。

原文发布时间为:2018-09-13

本文作者:Java技术驿站

本文来自云栖社区合作伙伴“Java技术驿站”,了解相关信息可以关注“Java技术驿站”。

Get史上最优雅的加密方式!没有之一!的更多相关文章

  1. 史上最全HashMap遍历方式

    java Hashmap Map TreeMap 的几种遍历方式,全网最全,全网最强 package Collec2; import java.util.HashMap; import java.ut ...

  2. 史上最全的CSS hack方式一览

    做前端多年,虽然不是经常需要hack,但是我们经常会遇到各浏览器表现不一致的情况.基于此,某些情况我们会极不情愿的使用这个不太友好的方式来达到大家要求的页面表现.我个人是不太推荐使用hack的,要知道 ...

  3. [转]史上最全的CSS hack方式一览

    做前端多年,虽然不是经常需要hack,但是我们经常会遇到各浏览器表现不一致的情况.基于此,某些情况我们会极不情愿的使用这个不太友好的方式来达到大家要求的页面表现.我个人是不太推荐使用hack的,要知道 ...

  4. 史上最全的CSS hack方式一览 jQuery 图片轮播的代码分离 JQuery中的动画 C#中Trim()、TrimStart()、TrimEnd()的用法 marquee 标签的使用详情 js鼠标事件 js添加遮罩层 页面上通过地址栏传值时出现乱码的两种解决方法 ref和out的区别在c#中 总结

    史上最全的CSS hack方式一览 2013年09月28日 15:57:08 阅读数:175473 做前端多年,虽然不是经常需要hack,但是我们经常会遇到各浏览器表现不一致的情况.基于此,某些情况我 ...

  5. IDEA HTTP Client(史上最全)

    文章很长,建议收藏起来,慢慢读! 疯狂创客圈为小伙伴奉上以下珍贵的学习资源: 疯狂创客圈 经典图书 : <Netty Zookeeper Redis 高并发实战> 面试必备 + 大厂必备 ...

  6. 史上最全面的SignalR系列教程-2、SignalR 实现推送功能-永久连接类实现方式

    1.概述 通过上篇史上最全面的SignalR系列教程-1.认识SignalR文章的介绍,我们对SignalR技术已经有了一个全面的了解.本篇开始就通过SignalR的典型应用的实现方式做介绍,例子虽然 ...

  7. 史上最全面的SignalR系列教程-3、SignalR 实现推送功能-集线器类实现方式

    1.概述 通过前两篇 史上最全面的SignalR系列教程-1.认识SignalR 史上最全面的SignalR系列教程-2.SignalR 实现推送功能-永久连接类实现方式 文章对SignalR的介绍, ...

  8. GitHub上史上最全的Android开源项目分类汇总 (转)

    GitHub上史上最全的Android开源项目分类汇总 标签: github android 开源 | 发表时间:2014-11-23 23:00 | 作者:u013149325 分享到: 出处:ht ...

  9. 史上最全阿里 Java 面试题总结

    以下为大家整理了阿里巴巴史上最全的 Java 面试题,涉及大量 Java 面试知识点和相关试题. JAVA基础 JAVA中的几种基本数据类型是什么,各自占用多少字节. String类能被继承吗,为什么 ...

随机推荐

  1. Ubuntu 修改$PS1 自定义命令提示符

    文章更新于:2020-03-25 文章目录 一.自定义命令提示符 1.可修改的是那部分? 2.修改 $PS1 变量 3.$PS1 变量格式 4.如何修改背景颜色 5.修改字体 二.Enjoy! 一.自 ...

  2. MTK Android Driver :Battery电池曲线

    MTK Android Driver :battery电池曲线 1.配置文件位置: CUSTOM_KERNEL_BATTERY= battery mediatek\custom\\kernel\bat ...

  3. iOS岗位招聘标准水涨船高,五年iOS程序员表示面试太难了

    人才济济的iOS开发者,你凭什么脱颖而出? 与岗位要求相去甚远,如何挑战极限? 想去心怡公司,如何马到成功? 那么,你的绝招是什么呢? 在这个iOS岗位供不应求的市场,对iOS开发者对要求日益增长,面 ...

  4. python-从酷狗下载爬取自己想要的音乐-可以直接拿来体验哟

    因为最近发现咪咕音乐版权好多,当时我就在想是不是可以爬取下来,然后花了一些时间,发现有加密,虽然找到了接口,但是只能手动下载VIP歌曲,对于我们学IT的人来说,这是不能忍的,于是就懒得去解密抓取了,但 ...

  5. web 应用 为啥 需要用到 tomcat 之类的 部署

    首先了解C/s架构 比如我们常见的QQ,魔兽世界等 这种结构的程序是有服务器来提供服务的,客户端来使用服务 而B/S架构是这样的 它不需要安装客户端,只需要浏览器就可以了 例如QQ农场,这样对客户端的 ...

  6. Mycat使用配置实践

    本来写了好多,关于配置的解释和使用以及注意,但是发现有点啰嗦含金量也不高,所以直接把实际使用的一个例子放着吧,供参考. <!DOCTYPE mycat:schema SYSTEM "s ...

  7. Salesforce元数据入门指南,管理员必看!

    元数据是Salesforce基础架构的核心,是Salesforce中的核心组件或功能.没有元数据,大部分功能都无法实现. 但是,某些Salesforce管理员仍然很难掌握元数据的整个范围,并且无法充分 ...

  8. JAVA—线程(Thread)

    1.线程的状态有哪些 我记得在操作系统原理的书上有一张具体的图,暂时找不到书... new:新建状态,被创建出来后未启动时的线程状态. runnable:就绪状态,表示可以运行. blocked:阻塞 ...

  9. python高级特性之封包与解包

    前言 文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理. 作者:kwsy PS:如有需要Python学习资料的小伙伴可以加点击下方链接 ...

  10. Persona & User Scenario

    Persona: Tom:男,21岁,大学生,周末经常和同学们一起出去吃饭.唱歌.打球.郊游,期间会时不时拍一些照片以作纪念,长期积累的照片数量较多且内容繁杂,很少对照片进行整理: Alisa:女,2 ...